Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2780 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Enterprise WLAN: keine Requests mehr an den Radius

dittertp
Servus,

wir haben zwei Standorte die beide ein eigene Astaro haben und jeweils 2 APs (jede FW managed also die APs am jeweiligen Standort). Beide nutzen den selben Radius Server der am Hauptstandort steht. Eine Firewall kann diesen also einfach übers Netzwerk erreichen, die andere muss die anfragen über VPN schicken. Enterprise WLAN hat 2 Monate tadellos funktioniert, und von einem Tag au den anderen nichtmehr.  


2013:10:30-09:15:43 10.0.108.2 awelogger[9975]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="TechDivision" ssid_id="WLAN2.0" bssid="00:1a:8c:2a[:D]0:f0" sta="6c:c2:6b:b6:c4:4e" status_code="0"

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.11: associated (aid 1)

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e MLME: MLME-ASSOCIATE.indication(6c:c2:6b:b6:c4:4e)

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e MLME: MLME-DELETEKEYS.request(6c:c2:6b:b6:c4:4e)

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e WPA: event 1 notification

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: start authentication

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e WPA: start authentication

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: unauthorizing port

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: Sending EAP Packet (identifier 233)

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: received EAP packet (code=2 id=233 len=14) from STA: EAP Response-Identity (1)

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: STA identity 'bertholds'

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: RADIUS Sending RADIUS message to authentication server

2013:10:30-09:15:43 10.0.108.2 hostapd: wlan0: RADIUS Next RADIUS client retransmit in 3 seconds

2013:10:30-09:15:46 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e RADIUS: Resending RADIUS message (id=24)

2013:10:30-09:15:46 10.0.108.2 hostapd: wlan0: RADIUS Next RADIUS client retransmit in 6 seconds

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: received EAPOL-Start from STA

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e WPA: event 5 notification

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: aborting authentication

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: Sending EAP Packet (identifier 161)

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: received EAP packet (code=2 id=161 len=14) from STA: EAP Response-Identity (1)

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: STA identity 'bertholds'

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: RADIUS Sending RADIUS message to authentication server

2013:10:30-09:15:48 10.0.108.2 hostapd: wlan0: RADIUS Next RADIUS client retransmit in 3 seconds

2013:10:30-09:15:51 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e RADIUS: Resending RADIUS message (id=25)

2013:10:30-09:15:51 10.0.108.2 hostapd: wlan0: RADIUS Next RADIUS client retransmit in 1 seconds

2013:10:30-09:15:52 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e RADIUS: Resending RADIUS message (id=24)

2013:10:30-09:15:52 10.0.108.2 hostapd: wlan0: RADIUS Next RADIUS client retransmit in 5 seconds

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: received EAPOL-Start from STA

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e WPA: event 5 notification

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: aborting authentication

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.1X: unauthorizing port

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e WPA: event 3 notification

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e MLME: MLME-DEAUTHENTICATE.indication(6c:c2:6b:b6:c4:4e, 23)

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e MLME: MLME-DELETEKEYS.request(6c:c2:6b:b6:c4:4e)

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e WPA: event 3 notification

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e IEEE 802.11: deauthenticated

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e MLME: MLME-DEAUTHENTICATE.indication(6c:c2:6b:b6:c4:4e, 3)

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e MLME: MLME-DELETEKEYS.request(6c:c2:6b:b6:c4:4e)

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e RADIUS: Removing pending RADIUS authentication message for removed client

2013:10:30-09:15:53 10.0.108.2 hostapd: wlan0: STA 6c:c2:6b:b6:c4:4e RADIUS: Removing pending RADIUS authentication message for removed client




Folgendes ist mir aufgefallen was mich sehr irritiert:

Egal was is als Radius Server in die Einstellungen eintrage im Wireless log steht immer

2013:10:30-08:46:56 10.0.108.2 hostapd: wlan0: RADIUS Authentication server 10.0.108.1:414

Dies ist die IP des intetnen Netzes. Den Port kenne ich nicht und habe ich nie definiert. Wenn ich irgendeinen anderen Server Definiere Reloaded Sich der AP - diese Meldung bleibt aber die selbe!! (mit immer der gleichen IP)  

Was mich hier noch irritiert, dass diese Meldung nur im Log der Firewall Auftritt die nichtmehr funktoiniert! 


Hart irgendwer noch einen Tipp für mich?

Danke!


This thread was automatically locked due to age.
  • 0
    Hi dittertp, herzlich willkommen.

    Ich gehe davon aus, dass du die aktuelle Firmwareversion nutzt: 9.106-17.
    Wenn das der Fall ist, habe ich auf einem System dasselbe Problem.

    Test des RADIUS Server ist erfolgreich, aber sobald Clients sich über das WLAN anmelden wollen, wird der RADIUS angefragt, aber da antwortet nichts. 
    Ich schau heute mal ins Log und achte mal, ich ich auch diese Meldung habe:

    Servus,
    2013:10:30-08:46:56 10.0.108.2 hostapd: wlan0: RADIUS Authentication server 10.0.108.1:414 


    Heute Nachmittag kann ich dir dazu vielleicht mehr sagen.

    Nice greetings
  • 0 in reply to GuyFawkes
    Hi,

    ja, ist alles aktuell - wobei das problem schon bei 9.105 da war.

    Vorallem der Port irritiert mich. Das ist halt überhaupt kein sinnvoller port - woher der nur kommt..

    Danke dir!
  • 0
    Hier war das Problem mit einem NAS-Identifier im RADIUS, das WLAN muss eingetragen werden. Obwohl es in anderen Umgebungen kein Problem ist.

    Kannst du mal unter Definitionen und Benutzer --> Authentifizierungsserver --> Server --> deinen Radius eintragen und testen?

    Außerdem teste einmal mit diesem Tool, ob dein Radius läuft: NTRadPing

    Achja, gleich das hier noch einmal bitte ab:
    How to use RADIUS Authentication: Astaro Security Gateway/Sophos UTM

    Nice greetings
  • 0
    Servus,

    Verbindung funktioniert hier einwandfrei, allerdings nur wenn ich den NAS-Identifier nicht auswähle. Am Radius kommt dann 

    [suffix] No '@' in User-Name = "", looking up realm NULL
    [suffix] No such realm "NULL"

    an. Funktioniert aber bei unserer Hauptfirewall


    Gruß,
    Philipp
  • 0
    Ja klar, das ist korrekt. Denn wenn du es ohne WLAN testest, dann passt der NAS-Identifier ja nicht, der müsste für den Test einmal entfernt werden, was du ja schon getan hast.

    RADIUS wurde an der UTM getestet?
    RADIUS wurde auch unter Wireless Protection - Allgemeine Einstellungen - Erweitert eingetragen?

    Droppt der IPS oder die Firewall Pakete?

    Nice greetings
  • 0
    Hallo,

    ein Kunde hat aktuell das selbe Problem. 
    In den known issues gibt's einen Eintrag bezüglich Radius:

    ID27777 9.104 WiFi: Radius packets which should be going to a server routed via IPSec goes out on external interface
    ------------------------------------------------------------------------
    Description:
    Workaround:
    Fixed in:     9.107


    ???
  • 0
    Hier wäre nen TCPDump hilfreich, mit entsprechender Ziel IP (RADIUS Server) und Port (1812)
    Dann könnten wir genau sehen, wer was antwortet.

    Nice greetings
  • 0
    Guten Morgen,

    nein über die UTM als Auth Server funktioniert alles einwandfrei - und geblockt wird natürlich auch nix. der Issue passt ziemlich perfekt bei mir und würde auch erklären, warums schonmal ging...ich mach gleich mal einen tcp tump...


    edit:

    hab mir mal schnell die dnat regeln angesehen (die auto)

    Siehe da:
    DNAT       tcp  --  anywhere             anywhere             tcp spts:1024:65535 dpt:infoseek ADDRTYPE match dst-type LOCAL to:10.0.2.6:1812
    DNAT       udp  --  anywhere             anywhere             udp spts:1024:65535 dpt:infoseek ADDRTYPE match dst-type LOCAL to:10.0.2.6:1812


    hier kommt auch wieder mein port 414 zum vorschein! is mal wieder arglange her, als ich das letzte mal iptables rules geschrieben habe...mal sehen ob mans temporär richten kann...
  • 0
    Gibt's hierzu Neuigkeiten?
    Ist absehbar wann 9.107 eventuell kommt?
Cookie Information Banner